Cet article est le premier d’une série visant à aider le lecteur en vue d’un projet de déploiement d’une Infrastructure à Clés Publiques PKI Introduction et définitions Depuis toujours il a été nécessaire de protéger des informations sensibles. Il peut s’agir d’informations confidentielles qui ne doivent être connues que par certaines personnes. Mais aussi il y a ce besoin de garantir la provenance et l’intégrité d’une information. Voici quelques exemples parmi tant d’autres Données militaires, contrats d’affaires, actes authentiques notaire, avocat… L’avènement de l’ère informatique a rendu possible la dématérialisation de l’information. Mais celle-ci a toujours besoin d’être protégée. Par ailleurs, ce “nouveau” média a permis l’émergence de nouveaux usages qui eux aussi ont besoin d’être sécurisés Achats sur internet, démarches administratives, outils de communication, etc. Les usages de la PKI Suffit-il d’assurer la confidentialité des informations? Non, cela ne suffit pas. Des usages de plus en plus complexes rendent nécessaires des services sécurisés de plus en plus variés. On peut lister Confidentialité Elle permet de s’assurer que seules les personnes destinataires d’une information peuvent y avoir accès. Elle garantit aussi que les personnes non destinataires, bien que pouvant accéder au message chiffré, ne peuvent pas le lire .Intégrité Le but est de garantir que le message n’a pas été altéré de manière volontaire ou involontaire Non répudiation C’est l’assurance qu’aucune des deux parties de l’échange d’information ne pourra nier être à l’origine du message. Notons que ce n’est pas une protection contre un tiers .Authentification Le but est de s’assurer que la personne à l’origine du message est bien celle qu’elle prétend être. Ainsi on valide son identité. La cryptographie La sécurisation de l’information se fait à l’aide d’outils cryptographiques. Ces outils se composent de fonctions mathématiques et d’algorithmes. Je ne m’attarderai pas sur se sujet, qui demanderait un article à lui seul et même plusieurs articles. Mais on peut citer les fonctions de hachage MD5, SHA-1, SHA-256…, les algorithmes symétriques DES, 3DES…, asymétriques RSA…, l’échange de clés Diffie-Hellman, etc. La PKI Public Key Infrastructure ou IGC en français Infrastructure de Gestion de Clés ou encore ICP Infrastructure à Clés Publiques, a rendu le chiffrement, la signature et l’authentification transparentes pour les utilisateurs. Elle permet la gestion et la protection de certificats numériques. Pour parvenir à cet objectif, elle doit fournir les services suivants Création de clés cryptographiques Authentification de clé publique Création de certificats Remise du certificat au porteur Publication de certificat sur un annuaire Vérification des certificats Révocation des certificats Etapes d’un projet de PKI Un projet de déploiement de PKI, comme tout projet informatique, comporte des phases, des personnes, des documents etc. Ces aspects sont très importants et doivent être soigneusement planifiés et conduits. On conduira ainsi le projet à son terme de manière satisfaisante. Il y a en tout 4 étapes Analyse/Conception, Implémentation, Paramétrage et Audit. Dans ce premier article, nous allons voir et détailler la première étape. Etape 1 Analyse et Conception Choix déploiement interne vs prestataire Tout d’abord, on fera le choix entre une déploiement interne ou par prestataire. Est-ce que la PKI fournira des services pour le grand public? Ou bien pour un usage interne? Est-ce que ce sera plutôt pour échanger avec des partenaires? Il existe des prestataires de services PSCE* agréés ANSSI Les prestataires permettent de réduire les couts de déploiement et d’opération, fournir des certificats dont l’ancre de confiance est déjà présente dans les outils bureautiques ou encore de mutualiser l’utilisation d’un certificat dans plusieurs services exemple déclaration de TVA et réponse à appels d’offres. Mise en place de l’organisation Equipe projet Comme pour tout projet, il faut mettre en place une équipe. Il faudra aussi prévoir une phase pilote avec un groupe d’utilisateurs restreint pour roder les procédures. Par ailleurs, on mettra au point un plan de communication, pour accompagner les utilisateurs au changement. Ne pas oublier le plan de formation des acteurs clés ainsi qu’une analyse d’impact sur les applications existantes avec éventuel plan de migration. Direction de la CA Elle comprend à minima le RSSI, un juriste, le chef de projet de déploiement. Son rôle est d’approuver PC Politique de certification et CPS Certificate Policy Statement en anglais ainsi que de les faire appliquer. En outre, elle commandera les audits. Les ressources Eh oui, il ne faut pas oublier qu’il faudra des collaborateurs pour opérer la PKI, délivrer et révoquer les certificats, administrer les serveurs, publier les CRL etc. Si le déploiement de la PKI inclut un support physique pour les certificats carte à puce, token…, il faudra aussi accompagner les utilisateurs pour la gestion des cartes à puces perdues, endommagées, code PIN bloqués etc. Quels usages Pour définir les usages de la PKI, il faut lister les besoins Pour un certificat utilisateur, s’agira-t-il d’offrir uniquement la signature électronique de documents, emails etc? Devra-t-on aussi prévoir du chiffrement emails, EFS…? Est-il nécessaire d’authentifier les utilisateurs ouverture de session Windows, connexion web, VPN, WIFI…? Des cartes à puce seront-elles déployées pour stocker les certificats? Quant aux certificats destinées aux serveurs, quels seront leurs usages? Authentification SSL? VPN? WIFI EAP-TLS? Serveur Exchange? Définition du référentiel de documents Il faudra définir le référentiel de documents indispensables qui vont servir à bâtir la confiance entre les parties prenantes de la PKI CP, CPS, CGU Certificate Policy, Certification Practices Statement, etc. Ces documents doivent être définis, rédigés, versionnés, revus régulièrement. Ils doivent en outre avoir un propriétaire et des contributeurs bien identifiés et stockés en adéquation avec leur niveau de confidentialité public, privé…. Coûts et sécurité Il faudra aussi planifier les aspects “coûts et sécurité”. Les coûts se diviseront en 3 grandes catégories Hardware serveurs, HSM…Software licences, SaaS…Setup budget d’implémentation En ce qui concerne la sécurité, il conviendra de déterminer le niveau en fonction de L’usage prévu de la PKI authentification, chiffrement, signatureLa sensibilité des informations qui seront protégées par la PKIToute régulation industrie, gouvernement… à laquelle l’entreprise doit se conformer Pensez aussi à définir la protection de la clé privée Serveur root CA hors ligne? Disque dur dans un coffre? Utilisation d’un HSM? Par ailleurs, n’oubliez pas de mener une réflexion sur la stratégie de journalisation des événements, d’audit, de cérémonies… Mais on reviendra sur ces points dans les articles suivants. La PKI étant opérée et maintenue par des personnes ayant des rôles différents, il faut définir des profils types avec les droits associés. Voici un exemple non exhaustif des rôles utilisés dans une CA Microsoft Administrateur CA ou Administrateur PKI son rôle est de gérer la CA elle même. Certificate Manager » qui délivre et révoque les certificats. Enrollment Agent » souvent utilisé avec les cartes à puces il va demander le certificat pour le compte d’un utilisateur. Key Recovery Manager » si on utilise l’archivage de clé. Si oui, ce rôle sera responsable de restaurer les clés privées En dernier lieu, mais tout aussi important, parlons de la sécurité physique. Il faudra certainement prévoir une armoire verrouillée en salle machine. Peut-être un coffre fort, un accès sécurisé, des badges d’authentification… Choix d’architecture Le dernier point de cet article concerne le choix d’architecture de votre PKI. Je conseille à mes clients de ne jamais s’en tenir à seulement une Autorité Racine. En effet, en cas de compromission de la clé privée cela s’est malheureusement déjà produit dans l’industrie, tous les certificats émis par l’autorité devront être révoqués. Inutile d’expliquer les conséquences désastreuses pour l’entreprise concernée et ses clients. Par conséquent, on prévoira des CA subordonnées sous la CA racine. Un seul niveau de subordination devrait être suffisant pour la majorité des PME. Pour les multinationales, il sera probablement nécessaire de définir un sous-niveau supplémentaire. Cela permet plus de flexibilité et d’autonomie en ce qui concerne les autorités d’enregistrement et la diffusion des CRL. En tout dernier lieu, pensez à décider de la stratégie de délégation. Hiérarchique si l’on veut permettre à la CA racine root CA, ancre de confiance de déléguer son pouvoir de délivrer des certificats à une CA subordonnée sub CA. Bien entendu on peut définir des restrictions au modèle de confiance Longueur de chaine maxi, contraintes de nommage, politique de certification et contraintes d’usage. Vous pourrez aussi opter pour le modèle pair-à-pair Utile quand deux entités sont en relations d’affaires et que leurs utilisateurs respectifs peuvent se faire mutuellement confiance. Chaque CA va générer et signer un certificat pour l’autre CA. Cela permet à chaque partie de garder le contrôle de sa PKI. Ce modèle est en outre idéal entres organismes distincts et indépendants. Il est aussi souvent utilisé pour les migrations de PKI, ou lorsqu’une entreprise fusionne/rachète une autre. Dans les prochains articles, nous verrons les autres étapes de déploiement d’une PKI. N’hésitez pas à lire les autres articles de notre blog! ACE MULTIPASS peut vous accompagner dans votre projet de PKI. Contactez-nous ici. *PSCE Prestataires de Services de Certification Électronique Related posts

Uncertificat de sécurité a été révoqué NET::ERR_CERT_REVOKED. L'établissement de la connexion sécurisée ne se fait pas et donc le navigateur n'affiche

Pixels Les ransomwares » sont des virus qui verrouillent l’accès d’un ordinateur et demandent une rançon aux victimes qui veulent en reprendre le contrôle. Les utilisateurs d’ordinateurs Mac qui aiment télécharger des films et des séries ont été la cible d’un nouveau virus le 4 mars. Des chercheurs ont en effet découvert un logiciel de racket, un ransomware », qui s’est glissé dans des fichiers d’installation pour Transmission, un client BitTorrent outil de téléchargement en pair-à-pair populaire pour OS X, la dernière version du système d’exploitation d’Apple. Les logiciels de racket, ou ransomwares », sont des virus qui peuvent se révéler très dangereux pour les victimes. Ce type de programme, relativement courant, infecte un ordinateur de diverses manières, puis en prend le contrôle et verrouille l’accès à ses fichiers ou à ses programmes. L’utilisateur se voit alors demander une certaine somme d’argent pour reprendre le contrôle de son ordinateur. Une première tentative en 2014 Le logiciel visant les utilisateurs de Mac et Transmission, nommé KeRanger, a été subrepticement glissé sur le site officiel du client BitTorrent, et une mise à jour est d’ores et déjà disponible pour effacer toute trace du virus. Celui-ci avait pour objectif de chiffrer le disque dur de sa victime afin d’en interdire l’accès, mais semblait nécessiter une connexion à Internet pour fonctionner. Les créateurs de KeRanger ont réussi à obtenir un certificat d’Apple – aujourd’hui révoqué – qui donnait au logiciel les autorisations pour s’installer sur le système des ordinateurs ciblés. Ce n’est pas la première fois que des hackeurs ciblent les utilisateurs d’OS X, système d’exploitation des Mac, avec un logiciel de rançon. Un premier exemple avait été découvert par l’entreprise spécialisée en cybersécurité Kaspersky, en 2014. Le virus était cependant incomplet, faisaient savoir à l’époque les chercheurs. Lire aussi Des hôpitaux français eux aussi victimes de chantage informatique Le Monde Vous pouvez lire Le Monde sur un seul appareil à la fois Ce message s’affichera sur l’autre appareil. Découvrir les offres multicomptes Parce qu’une autre personne ou vous est en train de lire Le Monde avec ce compte sur un autre appareil. Vous ne pouvez lire Le Monde que sur un seul appareil à la fois ordinateur, téléphone ou tablette. Comment ne plus voir ce message ? En cliquant sur » et en vous assurant que vous êtes la seule personne à consulter Le Monde avec ce compte. Que se passera-t-il si vous continuez à lire ici ? Ce message s’affichera sur l’autre appareil. Ce dernier restera connecté avec ce compte. Y a-t-il d’autres limites ? Non. Vous pouvez vous connecter avec votre compte sur autant d’appareils que vous le souhaitez, mais en les utilisant à des moments différents. Vous ignorez qui est l’autre personne ? Nous vous conseillons de modifier votre mot de passe. Dansce cas, le formulaire A1 confirme que la personne est uniquement soumise à la législation de son pays d'emploi. (Le formulaire A1 est délivré sur demande.) L'article 11 paragraphes 1 et 3.a du règlement CE n°883/2004 relatif au principe d'unicité de législation est applicable et suffit à dispenser la personne des cotisations Le certificat de conformité Seat Qu’est-ce qu’un certificat de conformité Seat? Le certificat de conformité Seat ou CoC Seat n’est ni plus ni moins un simple document officiel émanent du service homologation Seat qui atteste qu’un véhicule est bien conformite en France et en Europe lui permettant ainsi d’être immatriculé sans d’autres formalités Sans passage à la Dreal pour faire une RTI. Le Certificat de Conformité Européen CoC Seat certifie donc l’attribution dune réception européen du véhicule de la gamme Seat Champs K de la carte grise afin de permettre à l’ANTS de délivrer la carte grise française d’un véhicule importé. Ce document est donc harmonisé au niveau européen et on retrouve dessus une nomenclature normée comme le nom du constructeur Seat , le numéro de réception communautaire, la couleur du véhicule, le taux de CO2 et toutes les autres particularités techniques du véhicule. On retrouve l’intégralité de sa contenance dans la directive 92/53 Article IX. Néanmoins le Certificat de Conformité Seat n’est possible que pour les véhicules particuliers catégorie M1, les véhicules utilitaires catégorie N1, les motos catégorie L dont la date de première mise en service est postérieure au et strictement fabriqué pour le marché européen. A défaut, il sera possible de demander une attestation d’identification nationale Seat qui remplace le certificat de conformité européen CoC Seat . Qu’est-ce qu’une attestation d’identification nationale Seat ? L’attestation d’identification nationale Seat ou attestation d’indentification à un type nationale Seat ou certificat de conformité nationale Seat est également un document officiel émanent du service homologation qui atteste qu’un véhicule est bien conformite qu’en France lui permettant ainsi d’être immatriculé sans d’autres formalités uniquement en France Sans passage à la Dreal pour faire une RTI. L’attestation d’identification nationale atteste donc l’attribution dune réception nationale afin de permettre à l’ANTS de délivrer la carte grise française d’un véhicule importé. Ce document est n’est donc pas harmonisé au niveau européen et ne sera pas valable dans les autres pays européens. L’attestation d’identification nationale Seat mentionne les mêmes données que le certificat de conformité europen CoC sauf le numéro de réception communautaire remplacé par le numéro CNIT. L’attestation d’identification nationale est possible pour tous les véhicules peu importe la catégorie ou sa date d’immatriculation. Est-il possible de solliciter un certificat de conformité pour un véhicule Seat importé hors de l’UE États-Unis, Afrique , Chine, Dubaï ? Si le véhicule Seat importé d’un pays non européen a été fabriqué à la base pour le marché européen, il sera donc possible d’obtenir son Certificat de Conformité. A contrario non fabriqué pour le marché européen et même si le véhicule a une immatriculation européenne, il ne sera donc pas possible d’avoir ni son certificat de conformité ni son attestation d’identification nationale. Une réception à titre isolée RTI doit être faite pour rendre votre véhicule conforme en France. Il faudra prendre conseil auprès de la Dreal de votre région. Puis-je demander le certificat de conformité Seat ? Pour vérifier si votre véhicule dispose de son certificat de conformité Seat, il faudra vérifier sur le champ K de la carte grise étrangère, s’il y a bien un numéro de réception communautaire qui commence par E. Vous pouvez également nous contacter par téléphone ou par mail et nous fournir la copie de la carte grise afin qu’un expert vérifie votre demande. Le certificat de conformité Seat est-il obligatoire pour tous les véhicules Seat ? Les agents de l’ANTS ne vous demanderont pas, en théorie, le certificat de conformité Seat si la carte grise étrangère est entièrement complète à savoir les 4 rubriques D1, D2, D3 et K. Cependant bien que ces champs soient entièrement remplis, l’ANTS vous réclame toute de même le COC. Et si les 4 champs ne sont pas renseignés, il sera obligatoire de fournir le certificat de conformité. Quel est le prix d’un certificat de conformité Seat ? Le prix du document d’homologation certificat de conformité européen ou attestation nationale est de 130 € pour le CoC Seat et de 300 € pour l’attestation d’identification Seat. Combien de temps pour recevoir mon certificat de conformité ? Le délai d’envoi du document est de 6 jours pour le certificat de conformité et 3 semaines pour une attestation d’identification. Est-il possible d’avoir un certificat de conformité pour un véhicule ancien ou de collection Seat ? Si le véhicule Seat importé à plus de 30 ans et que vous sollicitez la mention voiture de collection », il sera possible à ce titre, un certificat de conformité Seat pour voiture de collection ou véhicule ancien. Il existe plusieurs avantages de mettre un véhicule en collection comme la fréquence du contrôle technique 5 ans au lieu de 2 ans. J’ai commandé et je souhaite annuler. Est-ce possible ? Vous souhaitez annuler votre commande de certificat de conformité Seat et vous demandez le remboursement. Si votre commande n’est pas encore traitée ou payée, il sera possible d’annuler et de se faire rembourser. Si votre commande est déjà traitée, il sera malheureusement impossible d’annuler la commande. Aussi, avant de commander, soyez sûr que vous avez besoin du certificat de conformité Seat. Lisez attentivement nos CGV. Lenvoi du message a échoué. Le certificat du pair a été révoqué. La configuration liée à être corrigée. Une recherche m’a conduit sur Table des matières1 Quels sont les intérêts du pair-à-pair?2 Quels sont les avantages et les inconvénients du modèle client-serveur?3 Comment se connecter en P2P?4 Que signifie peer-to-peer?5 Est-ce que le logiciel de peer-to-peer peut vous assurer que le fichier est incorrect? La particularité des architectures pair-à-pair réside dans le fait que les échanges peuvent se faire directement entre deux ordinateurs connectés au système, sans transiter par un serveur central. Il permet ainsi à tous les ordinateurs de jouer directement le rôle de client et de serveur voir client-serveur. Quels sont les avantages et les inconvénients du modèle client-serveur? Avantages de l’architecture client/serveur une meilleure sécurité car le nombre de points d’entrée permettant l’accès aux données est moins important. une administration au niveau serveur les clients ayant peu d’importance dans ce modèle, ils ont moins besoin d’être administrés. Le peer-to-peer ou P2P en abrégé pour la plupart des internautes, c’est le partage de fichiers et téléchargement de logiciels ou films depuis des logiciels comme uTorrent, Emule, etc. En réalité, le P2P est un mode de connexion très souvent utilisée par différentes plateformes d’internet sans que vous le sachiez. Comment utiliser le peer-to-peer? Le Peer-to-peer a très vite été utilisé par différentes solutions et applications pour un gain de bande passante. Voici quelques exemples d’utilisations du P2P. Il en existe bien d’autre comme par exemple. SQL Serveur ou Windows 10 qui utilise le P2P pour télécharger les mises à jour au sein d’un réseau local. Est-ce que le logiciel de peer-to-peer est identique? Au final, le logiciel de Peer-to-peer peut vous assurer que le fichier est strictement identique au fichier qui a été distribué à l’origine. Et s’il n’y a plus assez d’internautes qui ont le fichier? Que signifie peer-to-peer? Peer-to-peer P2P signifie d’ gale gale ». Et de fait, sur internet, tous les ordinateurs sont gaux. Ils peuvent tous envoyer et recevoir des donn es. C’est de l qu’est venue l’id e suivante Puisque chaque internaute est capable aussi d’envoyer des donn es, il pourrait fournir aux autres internautes les bouts du fichier qu’il poss de d j . Est-ce que le logiciel de peer-to-peer peut vous assurer que le fichier est incorrect? C’est à dire qu’ils sont capables de voir qu’une partie du fichier est incorrecte, et d’ignorer automatiquement les internautes qui envoie trop de bouts corrompus. Au final, le logiciel de Peer-to-peer peut vous assurer que le fichier est strictement identique au fichier qui a été distribué à l’origine.

Suiteà quelques instructions de publication, j'ai pu configurer mailx en utilisant un fichier .mailrc. il y avait d'abord l'erreur de nss-config-dir. J'ai résolu cela en copiant des fichiers .db à partir d'un répertoire firefox. vers ./certs et le visant dans mailrc. Un mail a été envoyé. Cependant, l'erreur ci-dessus s'est produite

^{Jusqu'à présent, nous avons pris pour habitude d’utiliser comme seul facteur d'authentification le mot de passe. Il faut néanmoins savoir qu'il est également possible d'utiliser un autre facteur, une clé. Cela est parfois préféré car la clé permet de ne pas avoir à retenir systématiquement des mots passe différents. Nous allons ici voir le fonctionnement général de cette méthode d'authentification. Il est courant sur des serveurs SSH de n’autoriser uniquement l’authentification par clé afin de sécuriser ce protocole. La plupart du temps la génération de la clé se fait sous Linux sans trop de problème étant donné qu’OpenSSH y est nativement présent. Sous Windows toutefois, quelques manipulations sont à effectuer afin de générer et d’envoyer notre clé au serveur. L'authentification par clés se fait donc via une paire de clés, le client va donc générer une paire de clés, une publique et une privée. Il va bien entendu garder sa clé privée pour lui et envoyer la clé publique au serveur SSH qui la stockera dans un endroit prévu cet effet. Si vous souhaitez avec plus d'informations sur le système de clé privée/clé publique, je vous invite à lire ce cours écrit par Florian Burnel - Clés asymétriques I. Génération de la clé Étant donné qu'un client SSH peut être un client Linux ou un client Windows, nous allons voir comment générer cette paire de clés sous Linux en ligne de commande, et sous Windows via PuttyGen. Générer une paire de clés sous Linux Voyons tout d'abord comment générer une paire de clés sous Linux en ligne de commande. Pour cela, nous allons utiliser la commande "ssh-keygen" ssh-keygen Si aucune option n'est spécifiée, une clé RSA de 2048 bits sera créée, ce qui est acceptable aujourd'hui en termes de sécurité. Si vous souhaitez spécifier une autre taille de clé, vous pouvez utiliser l'option "-b" ssh-keygen -b 4096 Par défaut, la clé va être stockée dans le répertoire .ssh/ de l'utilisateur courant Exemple /root/.ssh pour l'utilisateur root. Note Pour une sécurité correcte de vos communications, il est aujourd'hui recommandé d'utiliser des clés de 4096 bits. Il va ensuite nous être proposé de saisir une passphrase, je vous recommande d'en mettre une ! Concrètement, nous avons vu qu'une clé pourra être envoyé à plusieurs serveurs pour éviter d'avoir à saisir un mot de passe, en tant que possesseur de la clé privée correspondant à la clé publique envoyée au serveur SSH sur lequel on souhaite se connecter, le serveur nous acceptera directement. Néanmoins, si un tiers parvient à nous dérober notre clé privée, il arrivera à se connecter aux serveurs sans mot de passe. Ainsi, une passphrase permet la protection de notre clé privée via un mot de passe, ou plutôt une phrase de passe "passphrase". L'avantage par rapport à un mot de passe SSH est que vous n'avez qu'un mot de passe à retenir, celui de votre clé privée et pas un mot de passe par serveur SSH. Une fois créées, vous pourrez donc voir vos clés dans le répertoire ".ssh" de l'utilisateur [email protected]~ ls -al .ssh total 20 drwx- 2 root root 4096 juin 8 1115 . drwx- 10 root root 4096 juin 8 1111 .. -rw- 1 root root 3247 juin 8 1118 id_rsa -rw-r-r- 1 root root 745 juin 8 1118 -rw-r-r- 1 root root 444 avril 23 0334 known_hosts Pour rappel, nous nous situons toujours ici sur un Linux client, on remarque l'existence d'un autre fichier "known_hosts", il s'agit ici d'un fichier permettant d'identifier un serveur. Si vous vous connectez en SSH à plusieurs serveurs depuis votre utilisateur "root" dans mon cas, votre fichier known_host va peu à peu se remplir. Cela entraîne entre autre le fait qu'une demande validation de la clé serveur est demandée à la première connexion du serveur mais pas lors des connexions suivantes. Générer une paire de clés sous Windows La plupart des connexions SSH sous Windows sont initialisées avec le client Putty qui est simple et efficace. L'outil PuttyGen permet de générer facilement un jeu de clés qui nous permettra de nous authentifier sur un serveur en les utilisant. On doit donc commencer par télécharger PuttyGen sur la page de téléchargement de Putty Une fois téléchargé, nous l’exécuterons en cliquant sur l’exécutable Il faudra ensuite entrer notre passphrase si nous en avons saisi une lors de la création de la clé puis l’authentification se fera toute seule à l’aide des clés. Il nous faut ensuite sélectionner le type de clé que nous voulons générer, “SSH-1 RSA” et “SSH-2-RSA” correspondent à la version du protocole pour des clés RSA et “SSH-2- DSA” pour la création d’une clé DSA. Note DSA et RSA sont similaires, RSA serait légèrement plus lent que DSA en termes de vérification mais plus rapide en termes de génération de signature. La différence entre les deux est assez minime pour des clés de même taille. On peut également choisir le nombre de bits pour notre clé au minimum 2048 !. On cliquera ensuite sur “Generate“. Il faudra alors bouger la souris pour générer de l’entropie et cela jusqu’à ce que la barre de chargement soit pleine Création de la paire de clé Note L’entropie est le fait de se servir d’événements aléatoires dans le système mouvement de souris.. pour générer un chiffrement. Cela permet de rendre le chiffrement beaucoup dur. Une fois terminé, nous aurons cet affichage Enregistrement de la paire de clé générée On voit donc bien notre clé générée. On peut également, avant de l’enregistrer, ajouter un commentaire et une passphrase. La passphrase permet d’ajouter une couche de sécurité. C’est le même principe qu’un mot de passe. Si votre clé privée se retrouve dans les mains d’un attaquant, il lui faudra la passphrase pour l’utiliser. Il est possible de ne pas mettre de passphrase. Nous aurons alors un avertissement comme quoi il est préférable d’entrer une passphrase mais nous pourrons continuer. Il faut donc finir par cliquer sur “Save private key” et “Save public key”. Nous pourrons ensuite fermer PuttyGen. II. Mettre la clé sur le serveur Il nous faut maintenant faire l’opération consistant à envoyer notre clé publique sur le serveur afin de pouvoir s’y authentifier, sous Linux, une commande est prévue à cet effet. “ssh-copy-id” sous Linux. Il nous faut pour cela établir une connexion SSH sur le serveur par mot de passe une dernière fois avec la commande "ssh-copy-id" ssh-copy-id [email protected] Par exemple si je souhaite, en tant que client, ajouter ma clé sur le serveur SSH pour l'utilisateur root ssh-copy-id [email protected] Notez que par défaut, cette commande va envoyer la clé publique ".ssh/ On peut néanmoins, si l'on possède plusieurs paires de clés, spécifier la clé publique à envoyer au serveur, par exemple ssh-copy-id -i ~/.ssh/ [email protected] On devra donc saisir une dernière fois le mot de passe SSH de l'utilisateur visé sur le serveur SSH, puis nous aurons quelques messages de validation /usr/bin/ssh-copy-id INFO attempting to log in with the new keys, to filter out any that are already installed /usr/bin/ssh-copy-id INFO 1 keys remain to be installed - if you are prompted now it is to install the new keys Number of keys added 1 Ici, on voit donc qu'une nouvelle clé a été ajoutée au serveur. Le message qui suit nous le valide Now try logging into the machine, with "ssh '[email protected]" and check to make sure that only the keys you wanted were added. En effet, maintenant que notre clé publique est présente sur le serveur que nous possédons dans notre répertoire .ssh sa clé privée associée, nous allons pouvoir nous connecter au serveur juste en saisissant la commande suivante ssh [email protected] La passphrase de la clé publique nous sera demandée, puis on sera connecté en SSH à notre serveur. L'avantage est le suivant si cette même clé publique est envoyée à 30 autres serveurs, la passphrase sera la même pour toutes les connexions alors qu'il faudra retenir 30 mots de passe différents si vous utilisez la méthode d'authentification habituelle par mot de passe. Dans le cas où vous êtes sous Windows ou alors que la méthode précédemment proposée n'est pas envisageable, on peut aussi faire cette manipulation manuellement. Il nous suffira alors simplement de copier le contenu de notre clé publique par défaut ".ssh/ dans le fichier ".ssh/authorized_keys" de l'utilisateur du serveur visé. Nous supposons ici que nous voulons une connexion sur le compte "root" c’est bien sûr déconseillé dans un cadre réel. Nous allons donc aller dans le dossier "home" de cet utilisateur et créer le dossier ".ssh" s'il n’existe pas déjà mkdir .ssh Le dossier ".ssh" est là où vont se situer les informations relatives aux comptes et aux connexions SSH de l’utilisateur. Nous y créerons le fichier "authorized_keys" s’il n’existe pas. Ce fichier contient toutes les clés publiques que permettent d’établir des connexions avec le serveur et l’utilisateur dans lequel il se trouve selon le dossier "home" dans lequel il se trouve. Nous allons ensuite dans ce fichier mettre notre clé publique éviter de mettre les "=== BEGIN===" et "===END===" générés automatiquement par PuttyGen. Note Sous Windows, il est possible de récupérer le contenu de la clé publique en l'ayant ouverte avec un simple bloc-notes pour le transférer dans le fichier "authorized_keys". Il nous faudra ensuite donner les droits les plus restreints à ce fichier par sécurité et pour les exigences d’OpenSSH chmod 700 ~/.ssh -Rf Notre clé est maintenant présente sur le serveur, il nous reste plus qu’à nous connecter pour tester ! Pour les curieux, vous pourrez aller voir sur votre serveur SSH le contenu du fichier "authorized_keys" qui se situe dans le répertoire .ssh de l'utilisateur destinataire. Oui, notez bien qu'une connexion SSH est une autorisation faite sur un utilisateur précis de la machine serveur. On peut avoir les identifiants pour se connecter à une machine Linux en tant qu'utilisateur "mickael" par exemple, mais pas en tant que root, ou inversement. Il s'agit en fait de l'accès à un compte sur une machine plutôt qu'à une machine, simple précision technique. 🙂 III. Lancer une authentification SSH par clé avec Putty Maintenant que notre paire de clés est créé et que la clé publique a été envoyée au serveur SSH, nous allons pouvoir nous authentifier sur notre serveur SSH à l'aide de cette paire de clés. Authentification SSH par clé sous Linux Nous allons à présent nous authentifier sur notre serveur SSH depuis nos clients Linux, en ligne de commande et via l'utilisation de l'authentification par clés. Sous Linux en tant que client, nous utiliserons toujours la commande "ssh" pour se connecter à un serveur, cependant si un échange de clé a déjà été fait, aucun mot de passe nous sera demandé, il suffira alors de saisir la commande suivante ssh [email protected] Par exemple ssh [email protected] Nous serons alors directement orientés vers une session ouverte sur le serveur. Si, comme je l'ai proposé plus haut, vous disposez de plusieurs paires de clés et que vous souhaitez utiliser une clé privée précise, on peut alors utiliser l'option "-i" ssh -ri ~/.ssh/id_rsa_groupeServeurA [email protected] Authentification SSH par clé sous Windows Putty a maintenant besoin de savoir où se situe notre clé privée pour établir une communication valable avec le serveur. Après l’avoir lancé et avoir renseigné l’IP de notre serveur, nous nous rendrons dans la partie "Connexion" > "SSH" > "Auth" puis nous cliquerons sur "Browse" pour aller chercher notre clé privée à côté du champ "Private key file for authentication" Nous pourrons alors lancer la connexion en cliquant sur "Open". Il nous sera alors demandé l’utilisateur avec lequel nous voulons nous connecter. Il faut bien sûr saisir celui dont le "home" contient le ".ssh/authorized_keys" que nous venons de modifier. Il faudra ensuite entrer notre passphrase si nous en avons saisi une lors de la création de la clé puis l’authentification se fera toute seule à l’aide des clés. Note Dans le reste du cours, sauf mention contraire, nous continuerons d'utiliser l'authentification par mot de passe. Sachez qu'en général, les commandes avec authentification avec clés et avec mot de passe sont les mêmes, c'est le processus d'authentification qui change.}

Jesuis dans l'impossibilité d'accéder à hotmail. La fenêtre qui apparaît indique que le certificat de sécurité a été révoqué et de quitter ce site immédiatement. Il n'y a pas de possibilité d'y aller malgré l'avertissement. Je travaille avec Norton 360 et Vista. Merci à toute personne qui m'aidera! danielle du québec

Le site internet est une plateforme permettant de commander des masques. Cette plateforme n’est pas ouverte aux particuliers, elle est réservée aux entreprises de moins de 50 salariés, peu importe le secteur d’activité. Ce sont des masques lavables, réutilisables 20 fois. Cette initiative est soutenue par le ministère de l’économie et des finances. Problèmes Masques PME ◉ 0 Signalement <24h 0 Vous rencontrez un problème avec Masques PME ? Dites-le ! Signalements 24h 30j Que se passe t-il ? 2 maiOuverture de la plateforme Les commandes ne sont possibles que pour les entreprises entre 10 et 50 salariés. Pour les PME de moins de 10 salariés, il faudra attendre le 4 mai. . 107 325 143 179 278 301 392 413

le certificat du pair a été révoqué